保护你的无聊猿 Web3又一起钓鱼攻击事件发生

2022年6月5日，成都链安链必应-区块链安全态势感知平台舆情监测显示，BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击，黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析，结果如下。

Input Output发文介绍保护隐私的智能合约解决方案Kachina:8月5日消息，Cardano开发团队Input Output发文介绍与爱丁堡大学合作开发的保护隐私的智能合约解决方案Kachina，它利用ZK Snarks使用户能够在不牺牲去中心化特性的情况下实现隐私保护和通用智能合约功能。Input Output表示，提议的设计主要是理论上的，但Kachina证明了在现实生活的限制下创建保护隐私的智能合约的可能性。[2022/8/6 12:05:39]

#1事件相关信息

国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月，足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多，比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。

在web3世界中，网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现，通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击，让人防不胜防。

DeHealth与Chainlink达成合作，以保护并Token化用户私人医疗数据信息:7月28日消息，DeHealth 宣布与 Chainlink 达成合作，以加速 DeHealth 生态系统的发展并保护用户的私人医疗数据信息。Chainlink 将帮助 DeHealth 建立安全，可靠和可扩展的 DeHealth dApp 和分散的数据存储且基于 EVM 的私有区块链 DHLT 网络。通过结合 Chainlink 的分散式预言机和 DHLT 网络，为智能合约提供一致与安全的市场数据来源。（news.yahoo）[2022/7/28 2:42:54]

6月5日，BAYC在官方推特表示，其Discord服务器今天被短暂攻击，团队很快发现并解决了这个问题，但仍有价值约200ETH的NFT受到了影响，目前团队正在调查，并建议受影响用户发送电子邮件与官方联系。

Axie Infinity将添加机器人筛选工具GeeTest，以保护用户资产安全:7月26日消息，区块链游戏Axie Infinity将使用GeeTest CAPTCHA解决方案，以保护用户的加密资产安全并，并在增强用户体验的同时对抗大规模在线机器人威胁。（Globenewswire）[2022/7/26 2:38:18]

#2?本次事件攻击流程

攻击者地址

0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d

第一步，攻击者将钓鱼网站链接发布到官方社群。

第二步，攻击者通过钓鱼网站获得32个NFT，其中包含2个BAYC。

赵长鹏：对Terra团队处理UST/LUNA事件的方式感到非常失望，为保护用户暂停其交易:5月13日消息，赵长鹏解释暂停LUNA和UST交易表示，优先考虑保护用户。由于Terra协议的设计缺陷，大量新的LUNA被铸造出来。他们的验证者已经暂停了整个网络，导致无法在任何交易所进行存款或取款。部分用户不知道交易所外有大量新铸的LUNA，又开始购买LUNA，不知道一旦允许存款，价格可能会进一步暴跌。由于这些重大风险，币安暂停交易。

此外，赵长鹏称对Terra团队如何处理（或不处理）UST/LUNA事件感到非常失望。币安要求他们的团队恢复网络，销毁额外铸造的LUNA，并恢复UST挂钩。到目前为止，币安还没有得到任何积极的回应，或者根本没有太多的回应。这与Axie Infinity形成鲜明对比，Axie Infinity团队承担责任，制定计划并主动与币安沟通。币安提供了帮助。

最后，赵长鹏表示，知道社区中存在不同的意见，我们认为暂停交易是目前保护用户的最佳方式，并将继续密切关注情况。

此前消息，币安将于今日16:30暂停LUNA/BUSD，UST/BUSD交易对交易。[2022/5/13 3:14:19]

智联招聘首席科学家文镇：用户隐私保护可借鉴区块链技术:近日在第二届世界智能大会上，智联招聘大数据与算法首席科学家文镇表示：“用户的隐私数据应该像金融资产一样进行保护，并通过加密措施及严格的审计制度来预防黑客等角色的攻击。区块链技术给了我们很好的启示，个人数据的处理过程和对应产生的价值也可以通过分布式、可信的方式记录下来，并沿着这个思路把整个数据产生价值的流程透明化、规范化。”[2018/5/22]

第三步，攻击者卖出钓鱼获得的NFT，通过外部地址，将142ETH发送到Tornado.cash。

#3?资金追踪

截止发文时，攻击者地址累计转出154ETH，其中有142ETH进入了Tornado.cash。

#4?总结

近期，官方discord遭遇攻击的案例越来越多，经过成都链安安全团队分析，其原因可能有：

项目方员工遭受钓鱼攻击，导致账户被盗；

项目方下载恶意软件，导致账户被盗；

项目方未设置双因素认证且使用弱密码导致账户被盗；

项目方遭受钓鱼攻击，添加恶意书签从而绕过浏览器同源策略，导致项目方Discordtoken被盗。

防技巧

1

作为项目方，应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户；项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击，避免下载恶意软件，避免访问钓鱼网站。　

2

作为web3用户，应首先具备这样的意识：官方discord账户被盗越来越频繁，官方发布的消息也可能是钓鱼信息，官方不等于绝对安全。此外，在任何需要自己授权或交易的地方都需要谨慎，尽量从多个渠道进行信息交叉确认。　

而如今在web3持续火爆的情况下，钓鱼的方式层出不穷。用户需谨记上述防技巧，尽全力保证自己不被钓鱼。但是如果万一已经被，则可以采取下列措施尽可能补救：

-?马上进行资产隔离，尽快将剩余资产转移到安全位置，避免更大的损失；

-?主动发布声明，告知大家被盗账户的相关信息，避免危及朋友和社区；

-?尽可能保留证据，寻求项目方或机构进行后续处理；

-?可寻求专业的安全公司进行资金追踪，如成都链安。

最后，建议记录并分享被经历，与大家共勉。反钓鱼反，需要每个人都重视，也需要每个人都参与。

来源：成都链安

标签：LUNLUNAUNADISCLUNUterra币和luna币lunar币价格今日行情Disciplina

BNB热门资讯